En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el séptimo requisito. El mismo se centra en restringir el acceso al entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requierimiento 8 de PCI DSS: Identificar y autenticar el acceso a los sistemas

 

La posibilidad de identificar las acciones de cada una de las personas con acceso a datos o sistemas críticos garantiza que cada persona sea responsable de sus acciones.

Si bien es posible implementar sistemas de autenticación basado en diferentes factores el mas utilizado es el basado en ID de usuario y contraseña (factor I), dejando los otros factores de autenticación (2 y 3) como protección adicional.

El éxito de una implementación del sistema de autenticación, generalmente basada en una contraseña, depende de su diseño y de los métodos de seguridad para su protección durante la su transmisión y almacenamiento.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

  1. Implementar políticas y procedimientos para garantizar una gestión adecuada de la identificación del usuario.
  2. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.
  3. Implementar un proceso para mantener el control de las nuevas incorporaciones, eliminaciones y modificaciones de credenciales de acceso de los IDs de usuario.
  4. Cancelar todo el acceso otorgados a cualquier usuario desempleado, inmediatamente.
  5. Suspender a los usuarios de empleados inactivos de larga data.
  6. Habilitar y monitorear el acceso de terceros solo cuando sea necesario y durante un tiempo limitado.
  7. Monitorear las actividades para todas los IDs de usuario, especialmente aquellas otorgadas a terceros.
  8. Limitar el número de intento de accesos fallidos a través del bloqueo de cuenta durante un mínimo de media hora o desbloquee manualmente.
  9. Implementar doble factor de autenticación para los accesos administrativos que no son de consola y especialmente para todos los accesos remotos.
  10. Utilice únicamente cifrado sólido para la transmisión y almacenamiento de las contraseñas de autenticación.
  11. Implementar una sólida política de contraseña para reducir el riesgo de que no sea fácil de adivinar para una persona maliciosa que desea usar una identificación de usuario válida.
  12. Prohibir el uso de usuarios genéricos o contraseñas compartidas. Esto amenaza la posibilidad de identificar de manera unívoca las actividades de los usuarios.
  13. Security awareness es importante. El personal siempre debe conocer y respetar las políticas de seguridad y los procedimientos de identificación y autorización de acceso. Sea creativo para capacitar al personal con frecuencia y reconozca los procedimientos y políticas de autenticación segura.

Tal como se recomendó en el blog anterior, la implementación de una solución centralizada que permita restringir el acceso al sistema en función del rol es muy útil. Este tipo de solución de sistema también permite monitorear la actividad de los usuarios e implementar sólidas políticas de contraseña centralizadas.

 

Like to read more blogs about the PCI DSS requirements? Read about requirement 7 or requirement 6.
Need help to comply with PCI DSS? Our QSAs are here to help. Contact us directly or read more about our approach towards PCI DSS compliance.